Implementar políticas baseadas em identidade e outros tipos de políticas
Você gerencia o acesso na AWS criando políticas e anexando-as às identidades do IAM (usuários, grupos de usuários ou funções) ou aos recursos da AWS. Essa página descreve como as políticas funcionam quando usadas junto com o Acesso Privado ao Console de gerenciamento da AWS.
Chaves de contexto de condição globais da AWS compatíveis
O Acesso Privado ao Console de gerenciamento da AWS não é compatível com chaves de contexto de condição global aws:SourceVpce e aws:VpcSourceIp da AWS. Em vez disso, é possível usar a condição aws:SourceVpc do IAM nas políticas ao utilizar o Acesso Privado ao Console de gerenciamento da AWS.
Como o Acesso Privado ao Console de gerenciamento da AWS funciona com aws:SourceVpc
Esta seção descreve os vários caminhos de rede que as solicitações geradas pelo Console de gerenciamento da AWS podem seguir para os Serviços da AWS. Em geral, os consoles de serviço da AWS são implementados com uma combinação de solicitações diretas do navegador e solicitações enviadas por proxy por servidores da web do Console de gerenciamento da AWS a Serviços da AWS. Essas implementações estão sujeitas a alterações sem aviso prévio. Se os requisitos de segurança incluírem acesso a Serviços da AWS usando endpoints da VPC, recomendamos que você configure os endpoints da VPC para todos os serviços que pretende usar da VPC, seja diretamente ou por meio do Acesso Privado ao Console de gerenciamento da AWS. Além disso, é necessário usar a condição do IAM aws:SourceVpc nas políticas em vez de valores aws:SourceVpce específicos com o recurso de Acesso Privado ao Console de gerenciamento da AWS. Esta seção fornece detalhes sobre como os diferentes caminhos de rede funcionam.
Depois de fazer login no Console de gerenciamento da AWS, o usuário faz solicitações a Serviços da AWS por meio de uma combinação de solicitações diretas do navegador e solicitações que são enviadas por proxy dos servidores web do Console de gerenciamento da AWS aos servidores da AWS. Por exemplo, as solicitações de dados gráficos do CloudWatch são feitas diretamente do navegador. Já algumas solicitações do console de serviços da AWS, como o Amazon S3, são enviadas pelo servidor web para o Amazon S3.
Para solicitações diretas do navegador, o uso do Acesso Privado ao Console de gerenciamento da AWS não muda nada. Como antes, a solicitação chega ao serviço por meio de qualquer caminho de rede que a VPC tenha configurado para alcançar monitoring.region.amazonaws.com. Se a VPC estiver configurada com um endpoint da VPC para com.amazonaws.region.monitoring, a solicitação chegará ao CloudWatch por meio desse endpoint da VPC do CloudWatch. Se não houver um endpoint da VPC para o CloudWatch, a solicitação chegará ao CloudWatch no endpoint público, por meio de um gateway da Internet na VPC. As solicitações que chegarem ao CloudWatch por meio do endpoint da VPC do CloudWatch terão as condições do IAM aws:SourceVpc e aws:SourceVpce definidas com seus respectivos valores. Aqueles que acessarem o CloudWatch por meio do endpoint público terão aws:SourceIp definido como o endereço IP de origem da solicitação. Para obter mais informações sobre essas chaves de condição do IAM, consulte Chaves de condição globais no Guia do usuário do IAM.
Para solicitações enviadas por proxy pelo servidor web do Console de gerenciamento da AWS, como a solicitação que o console do Amazon S3 faz para listar os buckets quando você acessa o console do Amazon S3, o caminho da rede é diferente. Essas solicitações não são iniciadas pela VPC e, portanto, não usam o endpoint da VPC que você pode ter configurado na VPC para esse serviço. Mesmo que você tenha um endpoint da VPC para o Amazon S3 nesse caso, a solicitação da sessão ao Amazon S3 para listar os buckets não usa o endpoint da VPC do Amazon S3. No entanto, quando você usa o Acesso Privado ao Console de gerenciamento da AWS com serviços compatíveis, essas solicitações (por exemplo, para o Amazon S3) incluirão a chave de condição aws:SourceVpc no contexto de solicitação. A chave de condição aws:SourceVpc será definida como o ID da VPC em que os endpoints de Acesso Privado ao Console de gerenciamento da AWS para login e console são implantados. Portanto, se você estiver usando restrições aws:SourceVpc nas políticas baseadas em identidade, deverá adicionar o ID dessa VPC que hospeda os endpoints de login e console do Acesso Privado ao Console de gerenciamento da AWS. A condição aws:SourceVpce será definida para os respectivos IDs de endpoint da VPC de login ou console.
nota
Se os usuários precisarem acessar os consoles de serviço que não são compatíveis com o Acesso Privado ao Console de gerenciamento da AWS, você deverá incluir uma lista dos endereços de rede pública esperados (como o intervalo de rede on-premises) usando a chave de condição aws:SourceIP nas políticas baseadas na identidade dos usuários.
Como os diferentes caminhos de rede são refletidos no CloudTrail
Os diferentes caminhos de rede usados pelas solicitações geradas pelo Console de gerenciamento da AWS são refletidos no histórico de eventos do CloudTrail.
Para solicitações diretas do navegador, o uso do Acesso Privado ao Console de gerenciamento da AWS não muda nada. Os eventos do CloudTrail incluirão detalhes sobre a conexão, como o ID do endpoint da VPC que foi usado para fazer a chamada de API do serviço.
Para solicitações enviadas por proxy pelo servidor web do Console de gerenciamento da AWS, os eventos do CloudTrail não incluirão nenhum detalhe relacionado à VPC. No entanto, as solicitações iniciais ao Início de Sessão da AWS necessárias para estabelecer a sessão do navegador, como o tipo de evento AwsConsoleSignIn, incluirão o ID do endpoint da VPC do Início de Sessão da AWS nos detalhes do evento.
